'주민·계좌번호까지' 골프존, 220만명 정보 유출에 과징금 75억

개인정보위, 강화된 법 적용
업무망 내 파일서버 관리 소홀

200만명이 넘는 고객 개인정보가 유출된 골프존에 75억원의 과징금이 부과됐다. 지난해 강화된 개인정보보호법 규정이 적용된 실질적 첫 사례다.

개인정보보호위원회는 골프존에 대해 75억400만원의 과징금과 540만원의 과태료를 부과하고, 시정명령과 공표명령을 내기로 했다.

골프존은 지난해 11월 해커에 의한 랜섬웨어 공격을 받았다. 이 과정에서 해커는 골프존 직원들의 가상사설망 계정정보를 탈취했다. 이어 업무망 내 파일서버에 원격접속해 저장된 파일을 외부로 유출한 후 다크웹에 공개했다.

이로 인해 221만명 이상의 고객과 임직원의 개인정보가 유출됐다. 이름, 전화번호, 이메일, 생년월일, 아이디 등이다. 또한 5800여명의 주민등록번호와 1600여명의 계좌번호도 유출됐다.

개인정보위는 이번 유출 사고에 대해 골프존의 개인정보보호법 준수 여부를 조사했다.

그 결과, 골프존은 전 직원이 사용하는 파일서버에 주민번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실조차 인지하지 못한 점이 문제로 드러났다.

코로나19 시기에 골프존은 급하게 새 가상사설망을 도입했는데, 이 과정에서 외부에서 내부 업무망에 아이디와 패스워드만으로 접속할 수 있도록 허용해놨다. 이로 인해 외부에서 서버로의 원격접속 등 불필요한 접근이 가능함에도 불구하고 개인정보 유출 방지를 위한 안전조치에 소홀했던 것으로 조사됐다.

또한 골프존은 주민번호 등을 암호화하지 않고 파일서버에 저장·보관하고 있었다. 보유기간이 경과하는 등 불필요하게 된 최소 38만여명의 개인정보를 파기하지 않은 위반행위도 적발됐다.

개인정보위는 기업의 책임성을 강화하기 위해 개정한 개인정보보호법 규정이 실질적으로 적용된 첫 사례라고 밝혔다. 이 규정은 과징금 상한액을 위반행위 관련 매출액의 3%에서 전체 매출액의 최대 3%로 상향하는 내용이다.

강대현 개인정보위 조사1과장은 "사고 직전 3개년인 2020년에서 2022년까지의 매출액 평균으로 과징금을 책정했다"면서 "단, 고객 개인정보를 전혀 활용하지 않는 사업 부문의 매출액은 제외했다"고 설명했다. 그는 "대규모 정보 유출 사건에서 법 취지가 그대로 적용된 실질적 첫 사례"라고 부연했다.

강 과장은 이번 처분에 대해 "고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치가 적용돼야 함을 강조한 사례"라며 "업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대한다"고 밝혔다.

김보경 기자 bkly477@asiae.co.kr